Nous avions parlé ce 4 novembre 2010 de la vulnérabilité critique affectant Internet Explorer versions 6, 7 et 8. Pour rappel, cette vulnérabilité est basée sur l’exploitation d’une erreur dans la gestion des feuilles de style (CSS).
Afin d’éviter tout dérapage, les informations concernant cette faille ont été précieusement gardées par Microsoft, Symantec et d’autres professionnels de la sécurité informatiques. Bien évidemment, Microsoft avait communiqué sur son blog les détails sur la cause de la vulnérabilité.
Le peu d’informations qui ont été divulguées a suffit à quelques chercheurs (sans rapport avec Microsoft et Symantec) pour obtenir plus de détails sur les causes de cette faille. Ainsi, ils ont été en mesures de créer un “PoC” (Proof of Concept*). Ce “PoC” a démontré que cette vulnérabilité, à l’origine très limitée en impact, pouvait affecter des millions d’ordinateurs.
La mise à jour cyclique annoncée par Microsoft pour ce Mardi 9 novembre ne fait pas état d’un correctif pour Internet Explorer 6, 7 et 8. Il y a fort à parier que cette faille soit corrigée soit dans une mise à jour hors cycle ou lors de la prochaine mise à jour cyclique prévue pour le 14 décembre.
Pour patienter, Microsoft vous propose sur son site d’aide et support une « Enhanced Mitigation Experience Toolkit » qui permet d’éviter que les vulnérabilités des logiciels ne soient exploitées avec succès.
*Le Proof of Concept est un programme qui démontre la faisabilité d’une attaque exploitant une faille de sécurité. Ce type de programme n’est pas nocif, il sert juste de démonstration.